使用动态访问控制（DAC）保护文件访问

CIFS 凭证的添加信息​

在动态访问控制之前，CIFS 凭证包括安全主体（用户）的身份信息和 Windows 组成员资格。通过动态访问控制，会将另外三个信息添加至凭证 — 设备身份、设备声明和用户声明：

• 设备身份

  类似于用户的身份信息，但它只是用户登录设备的身份信息和组成员资格。

• 设备声明

  关于设备安全主体的断言。例如，设备声明可能是，此设备为特定 OU 的成员。

• 用户声明

  关于用户安全主体的断言。例如，用户声明可能是，其 AD 帐户为特定 OU 的成员。

中心访问策略​

文件中心访问策略可以让组织集中部署，并对包含使用用户组、用户声明、设备声明和资源属性的条件表达式的授权策略进行管理。

例如，对于访问易影响业务的数据时，用户需要是全职员工，并且仅可从受管设备访问数据。中心访问策略在 Active Directory 中定义，并通过 GPO 机制分布至各个文件服务器。

使用高级审核的中心访问策略暂存​

中心访问策略可以暂存，在这种情况下，这些策略将以假设的方法在文件访问检查期间进行评估。如果该策略生效会发生什么情况，该策略与当前配置的策略有何不同，这两个问题的结果将作为审核事件记录。这样，管理员便可在实际使用策略前，使用审核事件日志研究访问策略更改的影响。访问策略更改的影响评估完成后，该策略即可通过 GPO 部署到所需的 SVM。